DSGVO: Welche Daten wir über Ihre Kunden speichern, warum und wie lange

Clozos Verarbeitung personenbezogener Kundendaten fällt unter Art. 6(1)(b) — „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen". Konkret: Sie können einem Kunden keine Rechnung ausstellen, ohne seinen Namen, seine Adresse und sein Land zu kennen (EU-Mehrwertsteuerrichtlinie Art. 226 §5 schreibt diese vor); Sie können ihm keinen Vertrag per E-Mail senden, ohne seine E-Mail-Adresse; Sie können Reverse Charge nicht anwenden, ohne seine Umsatzsteuer-ID. Jedes Datenelement hat einen dokumentierten Zweck, der an den Vertrag gebunden ist.

Die Aufbewahrungsfrist wird mehr durch das Steuerrecht als durch die DSGVO eingeschränkt. Der Grundsatz der DSGVO zur „Speicherbegrenzung" (Art. 5(1)(e)) besagt, dass Daten nicht länger als nötig aufbewahrt werden dürfen; das Steuerrecht in jedem EU-Mitgliedstaat schreibt vor, dass Rechnungen und unterstützende Unterlagen ~10 Jahre aufbewahrt werden müssen. Deutschland: GoBD §147 AO (10 Jahre). Niederlande: Wet OB Art. 52 (7 Jahre allgemein, 10 für Immobilienunterlagen). Frankreich: Code de commerce L. 123-22 (10 Jahre). Italien: Art. 2220 Codice Civile (10 Jahre). Spanien: Ley 58/2003 General Tributaria Art. 70 (4 Jahre allgemein, aber Umsatzsteuer-Dokumentation typischerweise 10). Der Schnittmenge: 10 Jahre ab dem Datum der letzten Rechnung oder des letzten Vertrags ist die praktische Aufbewahrungsfrist, die Clozo anwendet.

Operativ bedeutet das: - Sie löschen einen Kunden. Weiches Löschen: der Kunde wird aus Ihrem Dashboard ausgeblendet, aber die zugrundeliegende Zeile sowie alle Angebote/Rechnungen/Verträge, die auf sie verweisen, werden für die rechtliche Rückverfolgbarkeit aufbewahrt. Hartes Löschen ist nicht verfügbar — ein hartes Löschen würde Rechnungen verwaisen lassen und Ihre Steuerkonformität gefährden. - Ihr Kunde geltend macht Art. 17 (Recht auf Löschung). Wenn kein aktiver Vertrag vorliegt und keine Steueraufbewahrungspflicht besteht, können Sie über eine Support-Eskalation hart löschen. Wenn es eine aktive oder jüngste (innerhalb von 10 Jahren) Rechnung gibt, gilt die Ausnahme der Verarbeitungsrechtsgrundlage in Art. 17(3)(b) — Sie können die Löschung verweigern und erklären warum (der EDPB hat dies bestätigt). Clozo protokolliert die Antwort so oder so. - Ihr Kunde geltend macht Art. 15 (Recht auf Auskunft). Die vollständigen Daten, die wir über sie haben (Name, E-Mail, Land, Adresse, Umsatzsteuer-ID, alle Angebote/Rechnungen, alle Timeline-Ereignisse, alle Signaturprüfungen) sind als ein einziges JSON-Archiv exportierbar — öffnen Sie ein Support-Ticket und wir generieren eines. Dies ist die Verantwortung, die Sie als Verantwortlicher tragen; Clozo ist der Auftragsverarbeiter und wir stellen die Werkzeuge bereit.

Was wir über Ihre Kunden nicht speichern: - Keine Bankkonten / IBAN-Daten — Kunden zahlen Ihnen, aber Clozo sieht nie ihre Kontonummer. SEPA-Überweisungen erfolgen außerhalb der Plattform; Stripe-Belastungen laufen über Stripe, und nur die letzten 4 Ziffern der Karte und eine tokenisierte Referenz erreichen Clozo. - Keine biometrischen Daten, keine Gesundheitsdaten, keine besonderen Kategorien von Daten gemäß Art. 9. - Kein Browser-Fingerprinting über IP und User-Agent hinaus, die zum Zeitpunkt der Unterzeichnung erfasst werden (eIDAS-Prüfpfad, Artikel 11.2). - Kein Marketing-Tracking auf der Angebotsseite — kein Google Analytics, kein Facebook-Pixel, keine Drittanbieter-Tracker erreichen Kunden.